Запретить выключение компьютера windows 10 rdp

В этой статье мы рассмотрим несколько способов, позволяющих управлять правами пользователей на перезагрузку и выключение компьютеров и серверов Windows. По умолчанию пользователи могут перезагружать и выключать только десктопные версии Windows, и не могут перезагрузить сервер (кнопки выключения и перезагрузки не доступны). Возможно ли разрешить пользователю без прав локального администратора перезагружать Windows Server? Возможна и обратная задача – запретить пользователям перезагружать компьютер с Windows 10 или 11, который используется в качестве некого информационного киоска, диспетчерского пульта и т.д.

Разрешить (запретить) пользователю перезагрузку Windows с помощью групповых политик

Права на перезагрузку или выключение Windows можно настроить с помощью политики “Завершение работы системы” (Shut down the system) в секции GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment). Этот параметр GPO позволяет указать пользователей, выполнивших локальных вход, которым разрешено выключать операционную систему.

Обратите, что по-умолчанию права на выключение/перезагрузку Windows различаются в десктопных версиях Windows 10/11 и в редакциях Windows Server.

Откройте редактор локальной политики gpedit.msc и перейдите в указанную выше секцию. Как вы видите, в дестопной версии Windows права на перезагрузку (выключение) компьютера есть у членов локальных групп: Администраторы, Пользователи и Операторы архива.

В Windows Server 2022/2019/2016 выключить или перезагрузить сервер могут только Администраторы или Backup Operators. Это правильно и логично, т.к. у пользователей в подавляющем большинстве случаев не должно быть прав на выключение сервера (даже случайное). Представьте себе RDS сервер, который периодически выключается из-за того, что пользователи случайно нажимают на кнопку выключения в стартовом меню…

На контроллерах домена Active Directory права на выключение Windows делегированы:

• Administrators
• Backup Operators
• Server Operators
• Print Operators

Если у пользователя нет прав на перезагрузку/выключение операционной системы, то при запуске следующей команды появится ошибка:

shutdown –r –t 0

Access is denied.(5)

Если вы хотите разрешить определенному пользователю (без права администратора) перезагружать ваш Windows Server, нужно добавить его учетную запись в эту политику и обновить настройки GPO на компьютере.

Или наоборот, вы хотите запретить пользователям десктопной редакции Windows 10/11 перезагружать компьютер, который выполняет некую серверную функцию. В этом случае вам достаточно удалить группу Users из локальной политики “Завершение работы системы”.

Аналогичным образом вы можете запретить (или разрешить) выключение или перезагрузку компьютеров для всех компьютеров в определённом Organizational Unit (OU) домена Active Directory с помощью доменной политики.

1. Создайте в AD группу пользователей grpAllowRestartComputers, которым вы хотите предоставить права на перезагрузку компьютеров. Вы можете создать группу из консоли ADUC (dsa.msc) или PowerShell командлета New-ADGroup. Добавьте в группу пользователей;
2. Откройте редактор доменных GPO (gpmc.msc). Выберите OU с компьютерами на которые вы хотите применить политику и выберите Create a GPO in this domain and Link it here;
3. Задайте имя политики gpoAllowReboot и отредактируйте ее;
4. Перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment;
5. Откройте параметр Shut down, включите политику и добавьте в нее вашу группу пользователей и встроенную группу Administrators;
6. Обновите настройки GPO на целевых компьютерах и проверьте настройки результирующей GPO в консоли
   rsop.msc
   . Пользователи из вашей группы теперь могут выключить или перезагружать этот хост;
7. У пользователя в стартовом меню Windows станут доступны опции выключения и перезагрузки Windows.

Разрешить удаленное выключение/перезагрузку Windows

Вы также можете разрешить определенным пользователям перезагружать ваш Windows Server удаленно с помощью команды shutdown или командлета Restart-Computer не предоставляя пользователю права локального администратора, права на локальный вход (если этот метод входа запрещено использовать для входа в Windows), право на RDP входа на сервер под пользователем.

Для этого необходимо добавить учетную запись нужного пользователя в политику “Принудительное удаленное завершение работы” (Force shutdown from a remote system) в той же самой секции GPO Назначение прав пользователя (User Rights Assignment).

По умолчанию выключить сервер удаленном могут только администраторы. Добавьте в политику нужную учетную запись пользователя.

В результате пользователю будет назначена привилегия SeRemoteShutdown и он сможет перезагрузить данный сервер удаленно с помощью команды:

shutdown -m \msk-repo01 -r -f -t 0

или с помощью PowerShell командлета Restart-Computer:
Restart-Computer –ComputerName msk-repo01 –Force

VERBOSE: Performing the operation "Enable the Remote shutdown access rights and restart the computer." on target ...

Если на удаленном компьютере настроен WinRM (Windows Remote Management), вы можете использовать для подключения WSman вместо WMI:

Restart-Computer -ComputerName msk-repo01 -Protocol WSMan

Если у пользователя нет прав подключения к WMI, появится ошибка:

Restart-Computer : Failed to restart the computer srv-rds1 with the following error message: The WS-Management servicecannot process the request. The WMI service returned an 'access denied' error. .

Скрыть кнопки выключения и перезагрузки в Windows

С помощью специального параметры GPO вы можете скрыть от пользователей команды выключения, перезагрузки и гибернации компьютера со стартового экрана и меню Start. Политика называется «Удалить команды Завершение работы, Перезагрузка, Сон, Гибернация и запретить доступ к ним” (Remove and Prevent Access to the Shut Down, Restart, Sleep, and Hibernates commands) и находится в разделе GPO пользователя и компьютера: Конфигурация компьютера (пользователя) -> Административные шаблоны -> Меню “Пуск” и панель задач (Computer Configuration -> Administrative Templates -> Start Menu and Taskbar).

После включения этой политики пользователь сможет завершить работу с Windows, только выполнив логофф. Кнопки выключения, сна и перезагрузки компьютера станут недоступными.

С помощью параметров реестра вы можете скрыть только определенный пункт меню. Например, вы хотите скрыть в стартовом меню только опцию Shutdown, но оставить Restart.

1. Запустите редактор реестра
   regedit.exe
   ;
2. Перейдите в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftPolicyManagerdefaultStartHideShutDown;
3. Измените значение параметра реестра value на 1;
4. Это скроет кнопку Выключить компьютер в стартовом меню.

Вы можете скрыть и другие опции в стартовом меню Windows:

• Скрыть кнопку перезагрузка:
  REG ADD "HKLMSOFTWAREMicrosoftPolicyManagerdefaultStartHideRestart " /v "value" /t REG_DWORD /d 1 /f
• Скрыть кнопку гибернации:
  REG ADD "HKLMSOFTWAREMicrosoftPolicyManagerdefaultStartHideHibernate" /v "value" /t REG_DWORD /d 1 /f
• Скрыть кнопку перевода в спящий режим:
  REG ADD "HKLMSOFTWAREMicrosoftPolicyManagerdefaultStartHideSleep" /v "value" /t REG_DWORD /d 1 /f
• Полностью скрыть раздел Shut down or sign out:
  REG ADD "HKLMSOFTWAREMicrosoftPolicyManagerdefaultStartHidePowerButton" /v "value" /t REG_DWORD /d 1 /f

Если эти параметры не сработали на вашем компьютере, проверьте аналогичные ключи реестра в ветке HKLMSOFTWAREMicrosoftPolicyManagercurrentdeviceStart.

Обратите внимание, что в Windows Server 2019 и 2022 при назначении прав пользователя, они могут получить ошибку:

You don’t have permission to shutdown or restart this computer.

В этом случае нужно включить в GPO параметр UAC: “User Account Control: Run all administrators in Admin Approval Mode”

Как узнать, кто перезагрузил (выключил) Windows?

Если вы предоставили обычному пользователю права на перезагрузку сервера вы, можете определить кто перезагружал определенный Windows сервер: пользователь или один из администраторов.

Для этого нужно использовать журнал событий Event Viewer (
eventvwr.msс
). Перейдите в раздел Windows Logs -> System и отфильтруйте журнал по событию с Event ID 1074.

В статье Анализ логов RDP подключений мы подробно рассматривали использование журнала событий для получения информации о удаленном RDP доступе пользователей.

Как вы видите, в журнале событий остались события все перезагрузки сервера в хронологическом порядке. В описании события указано время перезагрузки, причина и учетная пользователя запись, которая выполнила рестарт.

Log Name: System
Source: User32
EventID: 1074
The process wininit.exe (192.168.13.153) has initiated the restart of computer SRV-RDS1 on behalf of user WINITPROusername for the following reason: No title for this reason could be found
Reason Code: 0x800000ff
Reason Code:  0x500ff
Shutdown Type: restart

События выключения компьютера также можно найти по EventID 1074:

The process C:Program FilesVMwareVMware Toolsvmtoolsd.exe (SRV-RDS1) has initiated the shutdown of computer SRV-RDS1 on behalf of user NT AUTHORITYSYSTEM for the following reason: Legacy API shutdown
Reason Code: 0x80070000
Shutdown Type: shutdown
Comment:

С помощью простого PowerShell скрипта можно получить список последних 10 событий перезагрузки или выключения компьютера. В событиях указаны имена пользователей и процессы, из которых была инициирована перезагрузка:

Get-EventLog -LogName System |
where {$_.EventId -eq 1074} |select-object -first 10 |
ForEach-Object {
$rv = New-Object PSObject | Select-Object Date, User, Action, process, Reason, ReasonCode
if ($_.ReplacementStrings[4]) {
$rv.Date = $_.TimeGenerated
$rv.User = $_.ReplacementStrings[6]
$rv.Process = $_.ReplacementStrings[0]
$rv.Action = $_.ReplacementStrings[4]
$rv.Reason = $_.ReplacementStrings[2]
$rv
}
} | Select-Object Date, Action, Reason, User, Process |ft

Как запретить пользователям выключать или перезагружать компьютер

Помимо общей настройки операционной системы, администраторам небольших сетей, в том числе домашних, нередко приходится ограничивать доступ к отдельным ее функциям. Чаще всего такие запреты налагаются на изменение конфигурации, например, настроек сети или рабочего стола, но может иметь место и такое, что понадобится временно запретить пользователю выключать или перезагружать компьютер. 

Как запретить пользователям выключать или перезагружать компьютер

Запустите командой regedit редактор реестра и перейдите в расположение HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

Возможно, вы захотите запретить другим обычным пользователям выключать или перезагружать компьютер с Windows. Эта статья расскажет вам, как вы можете сделать это, создав отдельный объект групповой политики для не администраторов.

Запретить доступ к командам выключения, перезапуска, сна, спящего режима

Для этого введите mmc в начале поиска и нажмите Enter, чтобы открыть консоль управления Microsoft. На вкладке «Файл» нажмите «Добавить/удалить оснастку».

В левой части под доступными оснастками выберите объект групповой политики и дважды щелкните по нему.

Откроется мастер групповой политики. Под объектом групповой политики локального компьютера нажмите Обзор.

На вкладке «Пользователи» выберите «Не администраторы» и нажмите «ОК».

Затем, в недавно созданном объекте политики Local Computer Non-Administrators на левой панели, перейдите к Конфигурации пользователя> Административные шаблоны> Меню Пуск и Панель задач.

На правой панели выберите Удалить и запретить доступ к командам выключения, перезапуска, спящего режима и режима гибернации и дважды щелкните по нему. Выберите Включить> Применить/ОК.

Этот параметр политики запрещает пользователям выполнять следующие команды из меню «Пуск» или экрана безопасности Windows: «Выключение», «Перезагрузка», «Спящий режим» и «Спящий режим». Этот параметр политики не запрещает пользователям запускать программы для Windows, которые выполняют эти функции.

Если этот параметр политики включен, кнопка «Питание» и команды «Завершение работы», «Перезапуск», «Спящий режим» и «Спящий режим» удаляются из меню «Пуск». Кнопка питания также удаляется с экрана безопасности Windows, который появляется при нажатии клавиш CTRL + ALT + DELETE.

Запретить отдельным пользователям выключать Windows

Вы также можете запретить отдельным пользователям возможность выключения компьютера. Для этого откройте gpedit.msc и перейдите к следующему:

Конфигурация компьютера> Настройки Windows> Параметры безопасности> Локальные политики> Назначение прав пользователя> Завершение работы системы .

Дважды щелкните по нему> Выбрать пользователей> Нажмите Удалить> Применить/ОК.

Этот параметр безопасности определяет, какие пользователи, которые локально вошли в систему компьютера, могут или не могут завершить работу операционной системы с помощью команды выключения.

Чтобы запретить только определенным пользователям, вам нужно добавить стандартное имя учетной записи пользователя, которое вы не сможете выключить или перезагрузить компьютер.

Посмотрите, как можно удалить кнопку «Питание» или «Выключение» на экране входа в систему, меню «Пуск», меню WinX в Windows 10.

Бывают случаи, когда надо запретить пользователям выключать и или перезагружать компьютер. В корпоративной сети с доменом это делается на контроллере через изменение прав группы пользователей. А что делать если не домен не используется либо компьютер вообще домашний?! Тогда на помощь нам придут правила локальных групповых политик Виндовс. Главное условие — иметь доступ к системе с правами администратора, прямые руки и немного терпения.
Для того, чтобы запретить выключение компьютера в Windows 10, а так же перезагрузку, режим сна и гибернацию, надо сначала попасть в специальный редактор. Для этого нажимаем комбинацию клавиш Win+R и запускаем окно «Выполнить». 

В строку «Открыть» пишем команду gpedit.msc и нажимаем кнопку ОК. Откроется Редактор локальной групповой политики.
В нём надо открыть раздел «Конфигурация пользователя» >> «Административные шаблоны» >> «Меню «Пуск» и панель задач»:

Справа, в списке правил находим строчку «Удалить и запретить доступ к командам «Завершение работы», «Перезагрузка», «Сон» и «Гибернация».
Кликаем по ней дважды чтобы открыть правило:

Здесь надо поставить флажок «Включено», а затем нажать на кнопку «Применить» и «ОК».
Теперь всем локальным пользователям будет запрещёно выключать и перезагружать компьютер.

Если понадобиться открыть доступ для какого нибудь из пользователей, тогда делаем так. Открываем раздел «Конфигурация компьютера» >> «Конфигурация Windows» >> «Параметры безопасности» >> «Локальные политики» >> «Назначение прав пользователя»:

В списке правил находим «Завершение работы системы» и кликаем по нему дважды чтобы открыть свойства:

Здесь будет отображён список пользователей Windows 10, которым разрешён доступ к функции. Чтобы внести в этот список нужного пользователя — нажмите кнопку «Добавить пользователя или группу». В появившемся окне найдите нужную учётную запись. После этого она появится в этом списке. Нажимаем кнопку «Применить» и «ОК».